概要
Open Source Security Foundation (OpenSSF)は、Linux FoundationのTODOグループに関連するSlackコミュニティを標的にしたサイバー攻撃について警告しました。この攻撃では、信頼できるリーダーを偽装して開発者に情報を提供し、悪意のあるコードや証明書をインストールさせようとしています。
攻撃の詳細
Christopher “CRob” Robinson氏は、OpenSSFのCTOおよびChief Security Architectとして、このサイバーセキュリティ脅威について警告しました。攻撃者はSlackコミュニティに侵入し、有名な人物を偽装して信頼を得ようとします。
攻撃は以下の手順で進行します:
- 攻撃者がSlackコミュニティに侵入
- 有名なリーダーを偽装し、開発者との信頼関係を築く
- フィッシングページを通じてメールアドレスと認証コードの入力を要求する
- 取得した資格情報を用いて悪意のあるルート証明書をインストールさせる
攻撃の影響
攻撃者は、Google Sites上でホストされたリンクを使用して開発者に接触します。その後、攻撃はオペレーティングシステムによって異なります:
- macOSの場合:スクリプトがリモートサーバーからバイナリをダウンロードし実行する
- Windowsの場合:ブラウザベースの証明書インストールプロセスを通じて悪意のあるトラフィックを傍受する
AI関連の誘導
攻撃者は、AIに関する提案を使用して開発者を引きつけようとします。具体的には、Linux Foundationリーダーを装って、オープンソースへの貢献がレビュー前に受け入れられるかどうかを予測するプライベートツールの存在を主張しました。
対策
OpenSSFは開発者と貢献者に対して以下の対策を推奨しています:
- リクエストを行う前に、別途コミュニケーションチャネルを通じて身元を確認する。
- 無作為なリンクから証明書のインストールを避ける。
- 未知のスクリプトやバイナリを実行しない。
- 予期しない認証やセキュリティプロンプトには注意深く対応する。
まとめ
この攻撃は、オープンソースエコシステムの信頼に基づいた性質を悪用していることを示しています。開発者はしばしば既知のコミュニティメンバーと協力しますが、これが偽装攻撃に対して特に効果的である可能性があります。